Rischio per la sicurezza di consentire ai pacchetti ICMP di "destinazione non raggiungibile" su AWS

Naviga le tue risposte
3

Se configuro un VPC Amazon AWS, dovrei consentire esplicitamente l'ingresso di "destinazione non raggiungibile" ICMP in entrata? Desidero che il firewall VPC blocchi tutto per impostazione predefinita, tuttavia ciò significa che questo (potenzialmente) interrompe le cose per il traffico DSL? Il firewall stateful fa rientrare questi pacchetti, mentre gli ACL usati sulle subnet VPC, perché non ha stateless, no?

Suppongo che la mia domanda principale sia perché non è una regola predefinita se è sicura? - La risposta attuale di Mark dice che ICMPTX non è una vera minaccia su una rete di cui hai il controllo.

Nella risposta di Thomas Pornin su Rischio di sicurezza di PING afferma:

Some ICMP packet types MUST NOT be blocked, in particular the "destination unreachable" ICMP message, because blocking that one breaks path MTU discovery, symptoms being that DSL users (behind a PPPoE layer which restricts MTU to 1492 bytes) cannot access Web sites which block those packets (unless they use the Web proxy provided by their ISP).

Quanto sono probabili le regole predefinite per rompere le cose se il blocco ICMP "destinazione non raggiungibile" come sottolinea Thomas? Dovrebbero essere impiegati tempo e sforzi per consentire esplicitamente questi su VPC e subnet firewall e regola ACL?

Ho trovato questo interessante articolo sull'argomento :

There are a few common causes for not being able to get the ICMP replies necessary for PMTUD [Path MTU Discovery] to work. Overzealous network administrators will configure their firewalls to drop all ICMP since certain ICMP messages are considered security threats. Routers are sometimes (mis) configured with PMTUD disabled and so will simply drop the packet without sending the required ICMP message.

Se il blocco ICMP è così comune su AWS e altri provider di hosting cloud e non cloud, perché non vediamo più problemi con i buchi neri? Se non si tratta di un problema diffuso e molte persone sono su DSL utilizzando PPoE, sembra ragionevole lasciare il blocco come predefinito.

    
posta SilverlightFox 19.12.2014 - 12:28
fonte

4 risposte

1

Non esistono implicazioni ragionevoli per gli utenti DSL che bloccano i messaggi INBOUND ICMP (di qualsiasi tipo, in realtà) per i servizi ospitati in un'istanza di Amazon Cloud. Il motivo non ha alcun problema a bloccarli perché l'infrastruttura Amazon al di fuori del tuo cloud privato gestirà tutto ciò per te ... dopotutto, l'MTU all'interno del tuo private cloud non può superare il minimo MTU del percorso del percorso tra i potenziali clienti e i tuoi server.

L'unica volta in cui un ICMP irraggiungibile in ingresso dovrebbe verificarsi è se i server stanno cercando di raggiungere un indirizzo di destinazione per qualche motivo e un dispositivo nel percorso che è autorevole per il routing a quell'indirizzo di destinazione decide che non può raggiungere esso. Se il tuo server risponde a un potenziale cliente e tu ricevi una destinazione ICMP irraggiungibile, il "client" è probabilmente dannoso e sta falsificando il loro indirizzo di origine. Questo dovrebbe essere evidente perché se fosse un indirizzo legittimo che è stato indirizzato a te c'è quasi sicuramente un percorso indietro!

Sii prudente con un criterio BLOCK-ALL predefinito sulle istanze AWS. Metto un esplicito allow-my-management-IP su SSH e blocco tutto il resto una volta - e ho murato la mia istanza! Questo perché ci sono alcune comunicazioni DHCP e "Amazon" che il dispositivo deve supportare per poter comunicare. Lo stesso è probabile in un'istanza di cloud privato virtuale.

I non concur con l'affermazione di munkeyoto che c'è " nessun rischio " per consentire ai messaggi non raggiungibili di destinazione in uscita. Principalmente per le ragioni delineate da Mark e Jim. Gli hacker useranno qualsiasi cosa tu gli dia ... Se hanno solo bisogno di perdere una password, possono farlo attraverso i flag e le lettere maiuscole dei dati dei messaggi ICMP, quindi sarebbero necessari solo alcuni di questi messaggi (supponendo che non abbiano usato un blast- approccio out-all-data-at-once).

    
risposta data 23.12.2014 - 16:52
fonte
5

"ICMPTX" è un rischio molto, molto basso nella maggior parte delle situazioni del mondo reale. È fondamentalmente un modo per due programmi cooperanti di intrufolarsi tra i dati oltre un firewall che cerca solo l'estrazione dei dati sui protocolli tradizionali (TCP, UDP, ecc.). A meno che il tuo VPC AWS non sia infestato da malware e il tuo firewall sta ispezionando pacchetti per tentativi di estrazione dei dati, non me ne preoccuperei.

    
risposta data 19.12.2014 - 13:15
fonte
2

Il "rischio" generale di ping è preoccupante per qualcuno che utilizza il protocollo icmp per estrarre dati o controllare il malware. Penso che molte volte sia stato disabilitato come un "Non so perché ne ho bisogno, quindi lo disabiliterò mentalmente". Questo è il motivo per cui è diventata la regola predefinita. Anche se queste sono entrambe vere e proprie preoccupazioni se sei ancora nella mentalità "I have a perimeter" (al contrario di "Ho sicurezza dei dati, quindi l'identità è il mio perimetro"), quelle stesse preoccupazioni si applicano a ogni porta / protocollo che può entrare e uscire. ICMP è stato scelto in IPV4 perché era piacevole da usare, non avendo per lo più solo degli amministratori di rete infastiditi.

In IPV6 che consente a ICMP di essere non solo predefinito ma richiesto per diversi motivi, come la frammentazione che avviene solo all'origine (con icmp che invia un messaggio di tipo 2 all'host), SLAAC e NDP sono anche messaggi ICMP.

    
risposta data 23.12.2014 - 06:33
fonte
0

C'è nessun rischio associato alla disattivazione dei pacchetti non raggiungibili OUTBOUND . Diamo un'occhiata al motivo: la tua macchina stabilisce che qualcosa non può essere raggiunto FROM la tua macchina: "Qual è il significato di ciò che sei che blocca esplicitamente ?" Cisco suggerisce di bloccare la destinazione non raggiungibile, in quanto un utente malintenzionato può causare l'invio ripetuto della tua macchina messaggi che possono sopraffare la tua attrezzatura. Considera il seguente attacco: 

Attacker (2.3.4.5) --> (spoofs 8.8.8.8) --> your server (N amount of times)
Your server --> destination unreachable --> 8.8.8.8

Nel lato OUTBOUND dell'equazione, a cosa serve questo VPC? Ad esempio, se il VPC ha una connessione specifica: Punto A < - > VPC che differenza fa se tutto il resto è bloccato. Questo è qualcosa a cui solo tu puoi rispondere. Tutto inizia con qual è lo scopo del VPC, chi e come ha bisogno di connettersi (da e verso).

Generalmente vuoi evitare di creare troppe regole, diventa complicato da gestire, quindi una regola più appropriata sarebbe qualcosa del tipo: 

allow -- icmp messages (all) -- from.my.trusted.blocks
deny -- icmp messages -- all

Ciò garantisce che tutte le connessioni specificate siano in grado di ricevere messaggi per la possibile risoluzione dei problemi, mentre negano tutto il resto. Due regole contro dozzine | centinaia.

    
risposta data 22.12.2014 - 18:22
fonte

Leggi altre domande sui tag

Il sito di "ricezione di SMS online" potrebbe essere una truffa? Due VPN: pieno anonimato?